隨著企業(yè)不斷向數(shù)字化和轉(zhuǎn)型轉(zhuǎn)型����,近年來勒索攻擊和數(shù)據(jù)采集等黑灰產(chǎn)活動不斷專業(yè)化�、團(tuán)隊化�����,并開始借助轉(zhuǎn)型手段加速發(fā)展�。
勒索攻擊不再是一個傳統(tǒng)意義上的病毒�,而是趨向于定制化。各種新型�、智能化破壞力的攻擊方式層出不窮,例如供應(yīng)鏈攻擊�����、定時勒索模式和AI驅(qū)動的攻擊等�,攻擊者對漏洞的利用日益深入,攻擊路徑也越來越復(fù)雜多變��。
顯然�����,它已然成為了網(wǎng)絡(luò)安全領(lǐng)域一大核心�,不容忽視的問題。站在這樣數(shù)字化浪潮洶涌而來的節(jié)點�,企業(yè)此前傳統(tǒng)的防勒索的思維已然落后,企業(yè)究竟應(yīng)該怎么辦?
“勒索病毒�����,不僅僅是要‘防’,更要引入‘反’的機(jī)制�。”深耕網(wǎng)絡(luò)安全領(lǐng)域多年的瑞數(shù)信息,得出了這樣一個結(jié)論��,面對新的勒索病毒危機(jī)���,企業(yè)需要在思維觀念上作出改變�,建立一套完整的“防反結(jié)合”體系����。
對于企業(yè)而言,在日常運營過程中�,該建立什么樣的安全意識?在制度和技術(shù)上的呈現(xiàn)又是什么樣的?又該如何抵御勒索攻擊?
一、勒索攻擊“與時俱進(jìn)”��,企業(yè)亟需構(gòu)建完整的“制度+技術(shù)”管理體系
先來看一組數(shù)據(jù)�����。
據(jù)國外知名咨詢機(jī)構(gòu)Verizon《2024年數(shù)據(jù)泄露調(diào)查報告》的數(shù)據(jù)顯示��,經(jīng)濟(jì)利益驅(qū)動下�����,高ROI的攻擊手段備受青睞�,攻擊者愈發(fā)傾向使用能高投資回報率的攻擊技術(shù)手段。其中最為嚴(yán)重的就是勒索攻擊�����,占據(jù)高ROI攻擊事件的近三分之二(59%至66%之間波動)��。
另外�,Sophos的 “2024 年勒索軟件狀況”調(diào)查報告顯示,2024 年勒索軟件攻擊要求的平均贖金已飆升至約 273 萬美元���,比上一年增加了近 100 萬美元�����。
此外�����,值得注意的是��,勒索攻擊并不是一層不變的��。一方面�,隨著黑客組織不斷更新和改進(jìn)攻擊策略和技術(shù),衍生出 RaaS 勒索軟件即服務(wù)��,自動化�、智能化、多重勒索等復(fù)合勒索攻擊形態(tài)���。另外一方面�����,企業(yè)內(nèi)部的危機(jī)不亞于外部的危機(jī)����,內(nèi)部人員的安全意識以及不確定性帶來的“威脅”�,是除了技術(shù)外,亟需關(guān)注的另一視角�����。這些都使得勒索攻擊的門檻不斷降低��,攻擊頻率持續(xù)上升。
從企業(yè)的角度來看勒索攻擊����,新變化具體呈現(xiàn)了如下特征:
1��、 內(nèi)部攻擊的威脅并不亞于外部攻擊����。
對于企業(yè)而言,尤其是大型企業(yè)��,除了防范來自外部的勒索攻擊之外����,更重要的是需要警惕內(nèi)部攻擊。
實際上�����,目前大部分企業(yè)內(nèi)部圍繞著核心數(shù)據(jù)的防護(hù)��,這實際上是有缺失的���。在安全觀念里����,有一個說法是“三分靠技術(shù),七分靠管理����。”
這里的“七分靠管理”更多的是指防止內(nèi)部的惡意行為。在當(dāng)前的攻擊模式中����,我們發(fā)現(xiàn),攻擊并非都是從外部攻擊進(jìn)入��,尤其是對于大型企業(yè)來說�����,現(xiàn)在更需要防范的是內(nèi)部人員被策反的攻擊�����。
攻擊者的手段越來越社會工程化�,他們利用各種手段,目的都是為了突破大型企業(yè)的防線�。
2、勒索攻擊深入核心區(qū)域
以往的勒索攻擊模式往往是在企業(yè)網(wǎng)絡(luò)空間的邊緣進(jìn)行��,例如針對單點的攻擊或者API接口的攻擊。這種攻擊方式相對容易防御�����,因為它們通常只影響網(wǎng)絡(luò)的局部區(qū)域��。
然而����,現(xiàn)在的攻擊者已經(jīng)變得更加狡猾和精準(zhǔn)�,他們的攻擊范圍已經(jīng)從邊緣擴(kuò)展到了企業(yè)的核心數(shù)據(jù)。而核心數(shù)據(jù)��,往往也是企業(yè)的核心資產(chǎn)所在���。
勒索病毒攻擊核心數(shù)據(jù)后�,可能導(dǎo)致數(shù)據(jù)無法訪問或被加密�����,到后期恢復(fù)階段���,還需要確保備份數(shù)據(jù)的干凈��、考慮恢復(fù)時間等���,而這可能無異于會拉長時間成本�����、拉高經(jīng)濟(jì)成本��。
這種攻擊能力的提升����,使得企業(yè)不得不重新考慮其安全防護(hù)策略����,從僅僅保護(hù)網(wǎng)絡(luò)邊界轉(zhuǎn)變?yōu)楸Wo(hù)整個網(wǎng)絡(luò)空間,特別是核心數(shù)據(jù)的安全����。
因此,對于企業(yè)而言����,安全防護(hù)是需要有從邊界到內(nèi)部核心的全面防護(hù)。
企業(yè)需要加強(qiáng)對內(nèi)部網(wǎng)絡(luò)的監(jiān)控和保護(hù)�����,確保核心數(shù)據(jù)的安全,防止攻擊者通過內(nèi)部網(wǎng)絡(luò)滲透到企業(yè)的核心區(qū)域���。同時�����,企業(yè)應(yīng)秉承底線思維����,必須確保在核心數(shù)據(jù)被攻擊后的應(yīng)急預(yù)案����,這就需要企業(yè)在技術(shù)���、人員和管理等多個層面進(jìn)行綜合考慮����,構(gòu)建起一個全面���、立體的勒索事件管理體系�����。
二����、面對勒索攻擊,不止要防���,還要反
全面�����、立體的勒索事件管理體系�,企業(yè)應(yīng)該如何構(gòu)建呢?
目前����,面對勒索攻擊時,不少企業(yè)依舊停留在傳統(tǒng)的“防勒索”概念上�,這就容易陷入誤區(qū):
1、責(zé)任劃分不清楚
傳統(tǒng)的網(wǎng)絡(luò)安全定義主要集中在網(wǎng)絡(luò)層面的安全���,而勒索攻擊實際上是一種數(shù)據(jù)安全問題����。勒索應(yīng)對機(jī)制也不僅僅是技術(shù)問題,更是管理問題�。在傳統(tǒng)的網(wǎng)絡(luò)安全組織架構(gòu)中,勒索事件的應(yīng)對往往納入其職責(zé)范圍內(nèi)����。這導(dǎo)致了一個問題,即許多企業(yè)沒有專門針對勒索事件建立跨部門�����、跨組織的有效應(yīng)對機(jī)制�����。勒索應(yīng)急預(yù)案應(yīng)該歸類于哪個部門��,需要重新界定和梳理�。
2����、安全意識不到位
很多企業(yè)在安全意識的提升上做了很多工作,包括日常的培訓(xùn)和演練����,但針對勒索攻擊的防護(hù)仍然不足���。企業(yè)往往將勒索攻擊想象成純粹的外部攻擊,而忽視了內(nèi)部威脅的可能性�。這種觀念上的誤區(qū)導(dǎo)致企業(yè)在數(shù)據(jù)層面的防護(hù)體系建設(shè)不足。
另一面�,企業(yè)過于自信地認(rèn)為已經(jīng)實施的安全措施足以防范所有威脅,包括勒索攻擊���。然而���,他們往往忽視了當(dāng)這些安全措施失效時應(yīng)該如何應(yīng)對。
這指向的其實是企業(yè)缺乏底線思維�,導(dǎo)致企業(yè)在面對勒索攻擊時沒有備份計劃或其他應(yīng)急機(jī)制。
3�����、低估勒索攻擊的風(fēng)險
有些企業(yè)可能此前沒有經(jīng)歷過勒索攻擊����,就誤以為自己沒有被勒索的風(fēng)險。然而�����,這種低估威脅風(fēng)險的心態(tài),使得企業(yè)在內(nèi)部威脅管理上存在盲點��。
另外�����,許多企業(yè)認(rèn)為勒索軟件只通過單點進(jìn)入��,但實際上攻擊路徑已經(jīng)變得更加多樣化��。勒索攻擊可能通過外部服務(wù)器直接進(jìn)入��,或者利用企業(yè)內(nèi)網(wǎng)與外網(wǎng)之間的數(shù)據(jù)交換進(jìn)行攻擊����,或者采用社會化工程利用內(nèi)部員工和外包人員實現(xiàn)攻擊。這種攻擊路徑的多樣化是許多企業(yè)在防御勒索攻擊時未能充分考慮的誤區(qū)�。
企業(yè)在面對勒索攻擊時的這些思維誤區(qū)具象化的表現(xiàn),就是依然在強(qiáng)調(diào)“防勒索”����,而并非“反勒索”�����,即依然是防護(hù)而并非反制勒索攻擊。那么該如何理解“反勒索”呢?
第一步����,其實是思維觀念的轉(zhuǎn)變。企業(yè)有防護(hù)思維還不夠���,還應(yīng)該有反制思維���。而這種思維背后,涉及安全��、系統(tǒng)�、法律、合規(guī)等多個部門的合作���,且需要多種技術(shù)的支撐���,因此,瑞數(shù)信息建議企業(yè)首先需要專門針對勒索事件建立一套完整的流程和體系����,例如,基于企業(yè)原有的BCP(業(yè)務(wù)連續(xù)性計劃)或BCM(業(yè)務(wù)連續(xù)性管理)體系或者安全事件響應(yīng)預(yù)案,將勒索事件的管理納入體系框架中���,并梳理出相對應(yīng)的流程���,從而構(gòu)建全面、立體的勒索事件管理體系����。
第二步,企業(yè)需要具備底線思維�����,這意味著除了基礎(chǔ)的防護(hù)能力外��,還需要構(gòu)建反制能力����。這種反制能力包括系統(tǒng)的備份、恢復(fù)能力的建設(shè)��,以及在數(shù)據(jù)被攻擊后能夠及早發(fā)現(xiàn)并定位受影響的數(shù)據(jù)��。這些能力構(gòu)成了企業(yè)面對勒索攻擊時的最后防線�����,確保業(yè)務(wù)系統(tǒng)的連續(xù)性和數(shù)據(jù)的可恢復(fù)性���。
當(dāng)然����,企業(yè)構(gòu)建一個全面�����、安全的方案之前�����,并非完全拋棄“防”��,而是“防”+“反”的有機(jī)結(jié)合�。防護(hù)措施是必要的,但不足以應(yīng)對所有情況��。企業(yè)需要構(gòu)建更加立體和完善的勒索事件管理體系�,在預(yù)算允許的情況下,提高防護(hù)能力的門檻�,同時也要建立反制能力����。這種結(jié)合防護(hù)和反制的策略可以幫助企業(yè)在遭受勒索事件時�����,不僅能夠減少損害��,還能夠快速恢復(fù)正常運營���,避免支付贖金����。
值得關(guān)注的是��,企業(yè)在“反勒索”思維上的缺失也導(dǎo)致了其在安全防御上的投入往往不平衡���,更多地關(guān)注于防護(hù)而忽視了反制���。這種不平衡的成本配置在真正遭遇勒索攻擊時會導(dǎo)致巨大的損失。
因此���,企業(yè)也需要平衡防護(hù)和反制的成本����,確保在遭受攻擊時能夠快速恢復(fù),從而相對控制損失��。
三�����、結(jié)語
當(dāng)企業(yè)同時具備防勒索和反勒索思維之后����,則可以開始構(gòu)建一個全面�����、立體的解決方案����。這種解決方案不僅要能夠應(yīng)對當(dāng)前的勒索攻擊,還要能夠預(yù)測和防范未來可能出現(xiàn)的威脅�。
瑞數(shù)信息正是基于這樣的理念,打造了一套完整的“防+反”的解決方案——數(shù)據(jù)安全檢測與應(yīng)急響應(yīng)系統(tǒng)(DDR)����。通過事前����、事中和事后的數(shù)據(jù)安全閉環(huán)防護(hù)體系�,可對結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)實現(xiàn)細(xì)粒度勒索加密檢測,及時識別勒索事件���,精準(zhǔn)定位被加密數(shù)據(jù)�����,快速響應(yīng)恢復(fù)��,并確���;謴(fù)數(shù)據(jù)的完整性,縮小勒索事件的影響范圍����,確保企業(yè)數(shù)據(jù)安全。 DDR有效解決了傳統(tǒng)終端安全軟件被繞過��、備份系統(tǒng)恢復(fù)過程冗長等嚴(yán)峻的安全問題�,讓勒索軟件等新興數(shù)據(jù)安全威脅無處遁形。
瑞數(shù)信息這一套解決方案����,不僅是為了提升了企業(yè)數(shù)據(jù)安全的防護(hù)能力�,更是為企業(yè)構(gòu)建了一個智能���、高效的數(shù)據(jù)安全應(yīng)急響應(yīng)體系���。
京公網(wǎng)安備 11010502041587號